Новая техника уклонения от обнаружения антивирусами разработана создателями вымогательской программы Cerber. Теперь новая версия вредоносной программы включает в себя загрузчик, который не дает решениям, работающим с технологиями машинного обучения, фиксировать Cerber.
Обычно распространение вымогательских программ, в том числе и Cerber, осуществляется посредством рассылки электронных писем. Как утверждают эксперты из Trend Micro, в электронных письмах содержится ссылка на Dropbox-страницу, находящуюся под контролем киберпреступников. С этой страницы на систему жертвы осуществляется загрузка самораспаковывающегося архива, состоящего из трех компонентов: VBS-скрипта, DLL-файла и файла конфигурации. В последнем присутствуют разнообразные конфигурационные настройки, а, кроме того, загрузчик, который осуществляет проверку на наличие виртуальной машины и антивирусов.
Как утверждают эксперты, отдельный загрузчик используется по причине активного применения технологий машинного обучения в защитных решениях. Подобные продукты выявляют вредоносные файлы, основываясь на функционале, а не сигнатуре. Применение новой загрузочной техники уменьшает эффективность статичного подхода – методики анализа файла без его исполнения.
Как утверждают специалисты, все самораспаковывающиеся архивы объединены похожей структурой, вне зависимости от того, что входит в их состав. Кроме того, нераспакованные компоненты архивов, имеющие ограниченный функционал, не выглядят как вредоносные. Таким образом, новая версия Cerber избегает обнаружения алгоритмами машинного обучения. Однако, по словам экспертов, вредоносная программа может быть зафиксирована защитными решениями, работающими с разнообразными техниками, а не только с машинным обучением.